I ricercatori di Proofpoint hanno di recente individuato delle affiliazioni afferenti ad attori di minaccia che, con almeno un metodo di diffusione, stanno distribuendo una variante del trojan bancario Danabot, il cui aggiornamento risalirebbe a ottobre 2020.
DanaBot, le varianti
Scoperto per la prima volta nel maggio del 2018, al riguardo è memorabile la campagna malspam che ha interessato le PEC di aziende e PA italiane alla fine dello stesso anno, sarebbero state tre le versioni principali del malware veicolate in vario modo (variante n.1 maggio 2018, variante n.2 ottobre 2019, variante n.3 febbraio 2019).
Nel corso del tempo, DanaBot è stato uno strumento abbastanza impiegato come servizio MaaS, venduto o noleggiato ad altri attori affiliati, in particolar modo, per colpire istituzioni finanziarie dislocate principalmente negli Stati Uniti, Canada, Germania, Regno Unito, Australia, Italia, Polonia, Messico e Ucraina, per poi scomparire dalle scene a giugno 2020 e riapparire in autunno con questa sua quarta variante.
L’analisi di un campione
Il rapporto tecnico pubblicato descrive l’analisi di un campione della nuova variante dalla quale risultano alcuni elementi d’interesse e parzialmente in comune con le precedenti versioni del malware.
L’architettura, implementata in linguaggio di programmazione Delphi, secondo caratteristiche modulari e multithreading, prevede una componente loader (file EXE) deputata alla decrittografia, decompressione ed esecuzione di una componente secondaria (file DLL) operante con quattro modalità di funzionamento predeterminate e codificate.
La revisione del codice ha inoltre permesso agli analisti di rilevare:
- delle specifiche routine anti analisi per ottenere un certo grado di offuscamento e persistenza;
- un protocollo di comunicazione C2 TOR based (hostname: 5jjsgjephjcua63go2o5donzw5x4hiwn6wh2dennmyq65pbhk6qflzyd\ . onion).
DanaBot: una modalità di distribuzione
Lo sfruttamento di vari siti Web che propinano, per una vasta gamma di programmi (antivirus, VPN, editor di grafica e documenti), il download gratuito di tools warez/crack con chiavi software pirata, sarebbe, secondo i ricercatori, uno dei principali metodi di distribuzione individuati.
Infatti la prova download, di un prodotto offerto da uno di questi siti scoperti, ha mostrato che quando un utente scarica ed esegue la chiave software, in realtà avvia un dropper e carica due componenti stealer sul dispositivo target. Una di queste componenti raccoglie informazioni di sistema, dati del browser e wallet di criptovaluta, l’altra installa un miner (implementato in AutoIt script) e il payload principale di DanaBot (hxxp [:] // 45.147.230 [.] 58 / palata.exe).
Come proteggersi
È ragionevole pensare che nei prossimi mesi, come stimato dallo stesso team di ricerca, non si possa escludere che il numero di affiliati che utilizzeranno quest’ultima o altre varianti DanaBot non possa ulteriormente crescere e con esso anche le campagne di phishing e malspam.
Pertanto per proteggersi da questi tipi di minacce, oltre che prestare attenzione allo spam e garantire una protezione antivirus affidabile, occorre senza dubbio usufruire di canali ufficiali e verificati per il download, evitando installazioni di terze parti, link torrent e condivisioni P2P che, in ogni caso, con vari espedienti possono indirizzare verso file malevoli (con estensioni .ZIP, .EXE, .PDF, .DOC e .JS) che, una volta eseguiti, avviano il processo d’infezione.
